Un artículo para comprender las características, tipos y soluciones de los ataques de préstamos relámpago

Los préstamos flash son un tipo relativamente nuevo de préstamos no garantizados en el mundo de las finanzas descentralizadas. Iniciado originalmente por Aave a principios de 2020, desde entonces ha crecido en popularidad y está disponible en muchos protocolos de préstamos.

Muchos expertos de la criptoindustria se han convertido en fervientes defensores de los préstamos instantáneos, ya que ofrecen formas innovadoras de arbitraje, ejecutan transacciones rápidas y ofrecen muchas otras características novedosas que antes no estaban disponibles en las finanzas tradicionales.

La mayoría de nosotros estamos familiarizados con los préstamos tradicionales, en los que un prestamista presta dinero a un prestatario y lo devuelve durante un período fijo de tiempo con una prima o interés fijo además del principal. Los préstamos flash comparten los mismos fundamentos, pero incluyen varias características únicas:

Es un préstamo sin garantía, lo que significa que el prestatario no necesita activos o depósitos para obtener el préstamo. Además, a diferencia de los préstamos no garantizados tradicionales, no existe un proceso de verificación de crédito.

Todos los préstamos flash se realizan a través de contratos inteligentes en blockchain y estipulan que si el prestatario no devuelve los fondos en una sola transacción de blockchain, el proceso de préstamo se revertirá como si nunca hubiera sucedido. Esta distinción clave es la razón por la cual los prestatarios pueden obtener préstamos rápidos sin ningún tipo de garantía o verificación de crédito, ya que elimina cualquier riesgo para el prestamista.

El proceso de préstamo es instantáneo, por lo que una vez que se extiende el préstamo, el prestatario debe invocar otros contratos inteligentes para aprovechar los préstamos flash para intentar ejecutar una transacción casi instantánea y luego recuperar los fondos antes de que finalice la transacción de un solo bloque, generalmente en segundos.

Dado que los prestamistas tienen cero riesgo de capital y los prestatarios no tienen garantías ni obligaciones de verificación de crédito, no sorprende que los préstamos flash hayan crecido tan rápidamente en DeFi desde el año pasado.

Veamos algunos casos de uso de préstamos flash. En el primer caso, suponga que un usuario toma prestado DAI, utilizando las tenencias de ETH como garantía. Si el precio de ETH comienza a caer, el valor de la garantía caerá y el usuario enfrentará la amenaza de que su préstamo sea liquidado en algún momento.

Axelar Network: los activos de Cosmos ahora están disponibles en el ecosistema de Avalanche: el 2 de abril, Axelar Network, un protocolo de interoperabilidad entre cadenas, tuiteó que con el apoyo de Axelar, los activos de Cosmos ahora están disponibles en el ecosistema de Avalanche. El DEX Pangolin en la cadena Avalanche se ha lanzado en el grupo axlATOM-AVAX. [2022/4/3 14:01:23]

Para solucionar esta situación, los usuarios pueden aprovechar los préstamos flash. Con esta función de préstamo flash, los prestatarios pueden intercambiar ETH volátil por monedas estables. El valor de la garantía se estabiliza de inmediato, eliminando cualquier posibilidad de liquidación.

Si bien este caso de uso cae en la categoría de canje de garantías, también puede usar préstamos rápidos para canjear su deuda. Considere el ejemplo anterior en el que pidió prestados fondos en DAI.

Si hay un aumento repentino en la demanda de préstamos DAI, la tasa de interés de DAI aumentará más de lo que tenía que pagar antes. Para evitar pagar más intereses, puede cambiar DAI por cualquier otra moneda que se preste menos, protegiendo su capital invertido.

En principio, los préstamos flash permiten a los usuarios pedir prestado tanto como quieran sin ningún tipo de garantía. Como resultado, los prestatarios pueden tomar miles o incluso cientos de miles de dólares en Ether como préstamo sin ninguna garantía o proceso KYC.

Esto ha llevado al aumento de los ataques de préstamos rápidos, donde los agentes malintencionados obtienen grandes préstamos rápidos y luego usan estos fondos para manipular el mercado y aprovechar varios protocolos DeFi para obtener ganancias ordenadas, a menudo a expensas de los inversores comunes y los usuarios de la plataforma.

Los atacantes unieron montos de préstamos rápidos prestados a través de una serie de protocolos en cadena vulnerables para obtener cientos de miles de dólares en activos robados antes de que se pagaran los préstamos.

La plataforma de datos DeFi Defi Llama completó la recopilación de la cadena pública IoTeX: Noticia oficial, la plataforma de datos DeFi Defi Llama anunció que completó la recopilación de la cadena pública de alto rendimiento IoTeX.

DeFiLlama es un sitio web y una plataforma de datos para proyectos DeFi, dedicada a proporcionar a los usuarios datos precisos sin publicidad ni patrocinio. DeFiLlama es un proveedor de datos de DeFi TVL para sitios de mercado como CoinmarketCap y Coingecko.

IoTeX se estableció en 2017 como un proyecto de código abierto en Silicon Valley, con el objetivo de vincular el mundo real y el mundo digital.Es una cadena de bloques pública de alto rendimiento totalmente compatible con Ethereum. [2021/9/22 16:57:58]

Ha habido múltiples ataques de préstamos rápidos durante el último año, y la frecuencia de estos ataques parece estar aumentando.

Veremos algunos de ellos en detalle para comprender mejor el fenómeno.

El primer ataque de préstamo flash ocurrió en 2020, cuando los prestatarios obtuvieron préstamos flash ETH utilizando el protocolo de préstamos DeFi dYdX. Luego dividen el préstamo en dos y lo envían a las plataformas de préstamos Compound y Fulcrum.

En Fulcrum, se utilizaron algunos préstamos rápidos para vender ETH frente a WBTC. Fulcrum adquirió WBTC del popular intercambio descentralizado Uniswap a través de otro protocolo DeFi llamado Kyber.

Como el WBTC de Uniswap tiene poca liquidez, el precio del activo sube. Como resultado, Fulcrum pagó un precio más alto de lo habitual para adquirir WBTC.

Al mismo tiempo, el prestatario también tomó un préstamo WBTC de Compound y lo negoció en Uniswap, y el precio de WBTC aumentó.

Al manipular múltiples protocolos e inflar artificialmente el precio de WBTC, el prestatario obtuvo una buena ganancia, no solo pagando su préstamo ETH, sino también obteniendo un exceso de ganancias de ETH.

Si bien los prestatarios obtuvieron ganancias significativas, se engañó a Fulcrum para que adquiriera WBTC a un precio muy por encima del precio de mercado.

En un ataque de préstamo flash separado, los atacantes una vez más aprovecharon y manipularon el protocolo bZX sobre el cual se construyó Fulcrum. Primero, el prestatario toma una parte de su préstamo ETH y realiza un pedido grande en Kyber para comprar sUSD.

Los contratos inteligentes reconocen las monedas y sus precios, pero no entienden que las monedas estables están vinculadas al dólar. Los pedidos grandes hicieron que el precio de sUSD se disparara a $ 2 cada uno, lo que va en contra de la base misma de lo que debería poder hacer una moneda estable.

Como el poder adquisitivo de sUSD se ha duplicado, el prestatario lo usa para obtener más préstamos ETH de los que obtuvo anteriormente. Luego pagó su primer préstamo ETH y se escapó con el resto del dinero.

En este caso, el usuario engañó a Kyber haciéndole creer que sUSD podría tener un precio mucho más alto que $1.

Dado que estos ataques explotan los DEX para creer su propia fuente de precios o la única, que puede manipularse al realizar grandes pedidos de divisas, es prudente utilizar oráculos de precios descentralizados para determinar el precio correcto de un activo.

Hay varias formas en que las dApps pueden protegerse contra los ataques de préstamos rápidos, algunas de las más comunes son:

Oráculos descentralizados: la apuesta más segura es, sin duda, utilizar un oráculo descentralizado, utilizando múltiples fuentes para averiguar el "precio real". Algunos oráculos descentralizados, como nuestra propia Red Umbrella, van un paso más allá al enviar datos a la cadena de bloques para garantizar la confiabilidad de los datos.

Esto significa que si los malos intentan montar un ataque rápido en un dapp que obtiene su alimentación de un oráculo descentralizado, la manipulación de precios fallará, el tiempo de transacción pasará y toda la transacción se revertirá, sin procesar.

Actualizaciones de precios de alta frecuencia: esta es una solución fácil en papel, pero puede ser más costosa en la práctica. Aquí simplemente estamos aumentando la frecuencia con la que el grupo de liquidez consulta al oráculo para obtener nuevos precios. La lógica es que a medida que aumenta la cantidad de actualizaciones, los precios de los tokens en el grupo se actualizan más rápido y hacen que la manipulación de precios sea ineficaz.

Precio promedio ponderado en el tiempo: es una práctica común usar el promedio (o la mediana más cercana) para calcular los precios en los fondos de liquidez. Sin embargo, TWAP recomienda usar un precio promedio en varios bloques.

Esto ayuda a contrarrestar los ataques de préstamo relámpago, ya que toda la secuencia de transacciones de ataque debe procesarse dentro del mismo bloque, pero TWAP no puede manipularse sin manipular toda la cadena de bloques.

Otra recomendación estratégica para prevenir este tipo de ataques es utilizar dos bloques de transacciones en lugar de uno en el ciclo de transacciones.

Como puedes imaginar, esto complica el proceso y es disuasorio para los atacantes. Sin embargo, también corre el riesgo de causar daños a la interfaz de usuario de DeFi.

Algunos protocolos también integran herramientas de detección de ataques de préstamos flash, que ayudan en la identificación oportuna, la respuesta rápida y la neutralización. Sin embargo, es difícil confirmar la efectividad de estas herramientas a menos que no haya suficientes ejemplos de cómo evitar ataques.

DeFi sigue siendo un campo emergente. La forma en que funciona está experimentando muchas innovaciones y rápidos cambios fundamentales. Los cambios rápidos, incluso los innovadores, a menudo conducen al descuido de grupos extremadamente vulnerables.

Los atacantes continuarán explorando las vulnerabilidades que existen, pero con cada incidente, los mecanismos de prevención se fortalecerán a medida que evolucione todo el ecosistema.

Si bien hay formas de ayudar a reducir el riesgo, como el uso de oráculos descentralizados, actualizaciones de precios más frecuentes o estrategias TWAP, a medida que toda la industria DeFi adopta métodos más efectivos, los préstamos rápidos ya no serán una herramienta de explotación potencial. combatirlo.

Tags：

OKB